Goldbackdoor Malware

Do Mezo w Backdoors, Advanced Persistent Threat (APT)

Przetłumacz na:

Grupa APT (Advanced Persistent Threat), która ma powiązania z rządem Korei Północnej, atakuje dziennikarzy za pomocą nowego, zaawansowanego zagrożenia typu backdoor o nazwie Goldbackdoor. Konkretna grupa hakerów jest śledzona przez organizacje zajmujące się cyberbezpieczeństwem pod kilkoma różnymi nazwami - APT37, InkySquid, Reaper, ScarCruft i Ricochet Collima.

Uważa się, że groźna operacja rozpoczęła się w pewnym momencie w marcu 2022 r., A jej głównym celem jest zbieranie poufnych informacji od celów. Jak dotąd badacze infosec ustalili, że dane zostały pobrane z prywatnego komputera byłego urzędnika wywiadu Korei Południowej. Operacja rozpoczyna się od prób wyłudzenia informacji, podczas których hakerzy podszywają się pod legalną jednostkę NK News.

Szczegóły dotyczące złośliwego oprogramowania Goldbackdoor

Analiza zagrożenia przeprowadzona przez badaczy wykazała, że Goldbackdoor to wieloetapowe złośliwe oprogramowanie z rozszerzonym zestawem możliwości stwarzania zagrożeń. Ze względu na znaczne podobieństwa i nakładanie się kodu oraz jego zachowania eksperci twierdzą, że nowe zagrożenie jest najprawdopodobniej następcą szkodliwego oprogramowania Bluelight, jednego ze szkodliwych narzędzi wykorzystywanych w przeszłości przez APT37.

Hakerzy podzielili działanie zagrożenia na pierwszy etap oprzyrządowania i drugi, w którym dostarczany jest ostateczny ładunek. Taka konstrukcja umożliwia atakującym zatrzymanie operacji po początkowym udanym zainfekowaniu atakowanych urządzeń. Sprawia również, że potencjalna retrospektywna analiza zagrożenia po usunięciu ładunków z infrastruktury jest znacznie trudniejsza.

Po włączeniu Goldbackdoor zapewnia cyberprzestępcom możliwość wykonywania zdalnych poleceń, eksfiltrowania danych, zbierania plików lub pobierania dodatkowych na naruszoną maszynę, ustanawiania procedur keyloggera i nie tylko. Hakerzy mogą również poinstruować zagrożenie, aby odinstalowało się zdalnie z zaatakowanego systemu. Aby odbierać przychodzące polecenia od hakerów, Goldbackdoor korzysta z usług dostawców usług w chmurze i jest wyposażony w zestaw kluczy API umożliwiających uwierzytelnianie na platformie przetwarzania w chmurze Azure firmy Microsoft.